Introduction au service de protection d'infrastructure en nuage

Vérifiez les concepts du service de protection d'infrastructure en nuage, assurez-vous que les conditions préalables sont respectées, activez le service de protection d'infrastructure en nuage initialement, puis accédez-y régulièrement.

Planification du service de protection d'infrastructure en nuage

Passer du temps à planifier la façon dont la fonctionnalité du service de protection d'infrastructure en nuage est mappée à votre environnement, avant d'activer et de configurer ce service, pourrait vous faire gagner du temps plus tard.

Vous pouvez activer le service de protection d'infrastructure en nuage et commencer à surveiller immédiatement votre environnement. Il vous suffit de spécifier une cible unique qui est mappée au compartiment de niveau supérieur dans la branche d'Oracle Cloud Infrastructure que vous souhaitez surveiller. Vous pourrez par la suite personnaliser la configuration du service de protection d'infrastructure en nuage en fonction de votre expérience dans le traitement des problèmes qu'il détecte. Vous pouvez continuer à personnaliser la configuration du service de protection d'infrastructure en nuage pour optimiser les performances vers un objectif en deux parties :

Ne rien laisser qui constitue un risque potentiel pour la sécurité passer inaperçu.
Ne pas détecter "trop" de faux positifs - des problèmes qui ne présentent aucun risque potentiel pour la sécurité.

Si vous effectuiez un peu de planification, il serait possible d'atteindre cet objectif en deux parties plus rapidement. Il vous suffit d'examiner comment les ressources de votre location Oracle Cloud Infrastructure sont organisées dans des compartiments.

Examiner votre environnement

Examinez les types de ressources stockées dans différentes parties de la hiérarchie des compartiments de votre location Oracle Cloud Infrastructure. Existe-t-il des groupes de ressources dans différentes parties de la hiérarchie de ce compartiments qui doivent être surveillés de différentes manières, afin de détecter différents types de menaces? Le même problème, s'il est détecté dans différents compartiments, représenterait-il des niveaux de risque différents?

Cloud Guard vous permet de définir différentes zones de votre location Oracle Cloud Infrastructure qui peuvent être surveillées de différentes manières. Le compromis est que tous les compartiments d'une zone définie sont surveillés de la même manière.

Vous familiariser avec la terminologie du service de protection d'infrastructure en nuage

La rubrique Concepts du service de protection d'infrastructure en nuage présente les termes que vous apprendrez à utiliser ce service. La liste suivante résume ce que vous devez savoir pour démarrer la planification dans le service de protection d'infrastructure en nuage.

Cible: Définit la portée des vérifications du service de protection d'infrastructure en nuage. Tous les compartiments d'une cible sont vérifiés de la même manière et vous disposez des mêmes options pour traiter les problèmes détectés.
Détecteur: Effectue des vérifications pour identifier les problèmes de sécurité potentiels en fonction des activités ou des configurations. Les règles suivies pour identifier les problèmes sont les mêmes pour tous les compartiments d'une cible.
Répondant: Spécifie les actions que le service de protection d'infrastructure en nuage peut exécuter lorsque les détecteurs identifient des problèmes. Les règles de traitement des problèmes identifiés sont les mêmes pour tous les compartiments d'une cible.

Vous familiariser avec les recettes de détecteur du service de protection d'infrastructure en nuage

Consultez les règles décrites dans les sections de Informations de référence sur les recettes de détecteur pour les différents détecteurs. Au sein de votre environnement :

Y a-t-il des compartiments que vous ne voulez pas du tout faire surveiller par le service de protection d'infrastructure en nuage? Si oui, vous devez définir une ou plusieurs cibles de manière à exclure ces compartiments.
Pensez-vous que vous pouvez définir le niveau de risque différemment, ou activer et désactiver les règles différemment, pour les ressources dans différentes parties de votre hiérarchie de compartiments Oracle Cloud Infrastructure? Pour configurer différemment les règles de détecteur pour différents compartiments, vous devez définir des cibles distinctes pour eux.
Par exemple, pour la règle de configuration "Le seau est public", le niveau de risque par défaut est "CRITIQUE" et la règle est activée par défaut. Ces paramètres devraient-ils être les mêmes pour tous les compartiments?
Vous pouvez désactiver les actions de recette de répondant sur les problèmes identifiés par les détecteurs. Si vous souhaitez que les actions pour une règle de répondant particulière soient activées dans certains compartiments, mais désactivées dans d'autres, vous devez définir des cibles distinctes pour ces compartiments.
Par exemple, la règle de répondant "Rendre le seau privé" est activée par défaut. Avez-vous quelques compartiments dans lesquels tous les seaux sont publics intentionnellement et pour lesquels, vous pouvez donc désactiver cette règle?

Planifier le mappage des cibles aux compartiments

Si, à ce stade, vous ne pensez pas avoir besoin de définir plusieurs cibles et que vous avez exécuté les préalables, vous pouvez procéder à l'activation du service de protection d'infrastructure en nuage. Vous pouvez toujours modifier la configuration de votre cible plus tard, en cas de besoin.

Si vous pensez avoir besoin de définir des cibles pour permettre la surveillance différente de différents compartiments, gardez ces directives à l'esprit lors du mappage des cibles aux compartiments :

Tous les compartiments d'une cible héritent de la configuration de cette cible. Les paramètres de règle de détecteur et de répondant pour une cible s'appliquent au compartiment de niveau supérieur affecté à cette cible, ainsi qu'à tous les compartiments qui lui sont subordonnés dans la hiérarchie.
Si vous souhaitez exclure certains compartiments de la surveillance, créez des cibles au-dessous du niveau racine et n'incluez ce dernier dans aucune cible.
Une cible définie dans une cible existante remplace la configuration héritée. Dans une cible existante, vous pouvez affecter un compartiment au-dessous du compartiment de niveau supérieur de la cible à une nouvelle cible. Vous pouvez modifier les paramètres de règle de détecteur et de répondant pour la nouvelle cible. Ces paramètres s'appliquent maintenant au compartiment de niveau supérieur affecté à cette cible, ainsi qu'à tous les compartiments qui lui sont subordonnés dans la hiérarchie.

Sélectionnez soigneusement votre région de rapport

Lorsque vous activez le service de protection d'infrastructure en nuage, vous êtes invité à sélectionner une région d'inscription. Examinez attentivement les conséquences de votre choix de région d'inscription :

La région d'inscription que vous sélectionnez engage votre organisation à respecter toutes les exigences légales du pays où la région d'inscription est hébergée.
Une fois Cloud Guard activé, vous ne pouvez pas modifier la région d'inscription sans désactiver, puis réactiver Cloud Guard.
Toutes les personnalisations et les problèmes existants (y compris leur historique) sont perdus lorsque vous désactivez le service Protection d'infrastructure en nuage. Vous devrez donc restaurer manuellement ces personnalisations.
Tous les appels d'API, à l'exception des appels d'API READ, doivent être effectués dans la région d'inscription.

Assurez-vous de faire le meilleur choix concernant votre région d'inscription avant de passer à la rubrique Étapes d'activation du service protection d'infrastructure en nuage.

Activation du service de protection d'infrastructure en nuage

Exécutez cette tâche pour activer le service de protection d'infrastructure en nuage depuis la console OCI.

Conditions requises : Effectuez les tâches décrites dans Conditions requises et Planification du service de protection de données infonuagiques.

Deux stratégies

Vous pouvez utiliser l'une ou l'autre des deux approches de base pour activer le protection d'infrastructure en nuage :

Commencer par la configuration par défaut : Vous souhaitez que le service Protection d'infrastructure en nuage commence à signaler les problèmes dès que possible une fois le processus d'activation terminé.
N'ignorez aucune sélection facultative pendant le processus d'activation.
Note

Si vous ignorez l'une des sélections facultatives lors du processus d'activation, le service Protection des données en nuage ne commence pas automatiquement à signaler les problèmes une fois celui-ci terminé. Si vous ignorez les paramètres facultatifs lors de l'activation, le service Protection d'infrastructure en nuage ne peut pas commencer à signaler les problèmes avant d'ajouter des recettes de détecteur à la cible spécifiée. Voir Modification d'une cible OCI et de ses recettes attachées.
Personnaliser d'abord la configuration : Personnalisez la configuration du service de protection d'infrastructure en nuage avant que celui-ci ne commence à signaler les problèmes.
Vous pouvez ignorer toutes les sélections facultatives pendant le processus d'activation.

Quelle que soit l'approche que vous adoptez pour activer Cloud Guard, vous pouvez affiner la configuration Cloud Guard au besoin après l'activation.

Étapes d'activation du service protection d'infrastructure en nuage

Connectez-vous à la console OCI en tant qu'utilisateur Oracle Cloud Guard que vous avez créé dans Préalables, dans la section "Création de l'utilisateur et du groupe du service de protection d'infrastructure en nuage".
Ouvrez le menu de navigation et Identité et sécurité. Sous Protection d'infrastructure en nuage, sélectionnez une ressource.

Note

Si la page de la ressource du service infonuagique sur laquelle vous avez cliqué s'ouvre, le service infonuagique est déjà activé.
Dans la page Service de protection d'infrastructure en nuage, sélectionnez le bouton Activer le service de protection d'infrastructure en nuage en haut à droite pour ouvrir la boîte de dialogue Activer le service de protection d'infrastructure en nuage.
Le panneau Politique du service de protection d'infrastructure en nuage affiche une liste de toutes les politiques OCI qui doivent être activées pour que le service de protection d'infrastructure en nuage puisse être entièrement fonctionnel. La colonne de droite affiche :
- Non ajouté si la politique n'est PAS activée actuellement.
- Ajout si la politique est actuellement activée.
Sauf si vous réactivez le service de protection d'infrastructure en nuage après la désactivation, toutes les entrées doivent être Non ajoutées.

Note

Ces politiques sont des privilèges en lecture seule qui permettent à Cloud Guard de surveiller les ressources OCI au sein de votre location. Ces politiques ne donnent au service Cloud Guard aucun privilège de gestion sur les ressources,

Exception : La politique manage cloudevents-rules permet au service de protection d'infrastructure en nuage de créer des règles d'abonnement aux événements de vérification, qui sont essentielles pour que le service de protection d'infrastructure en nuage détecte les problèmes. Les règles de détecteur d'activité du service de protection d'infrastructure en nuage fonctionnent en ingérant et en analysant les événements de vérification dans votre location. Le service de protection d'infrastructure en nuage doit créer une règle gérée par les événements en nuage dans votre location afin qu'il puisse s'abonner à vos événements de vérification. Le privilège d'utilisation est nécessaire pour permettre au service de protection d'infrastructure en nuage de lister les règles de sécurité de groupe de sécurité de réseau.

Les politiques IAM suivantes sont automatiquement ajoutées au groupe de politiques "Politiques du service de protection d'infrastructure en nuage" lorsque vous sélectionnez Créer une politique au bas du panneau Politique du service de protection d'infrastructure en nuage dans la boîte de dialogue Activer le service de protection d'infrastructure en nuage :
```
allow service cloudguard to manage cloudevents-rules in tenancy where target.rule.type='managed'
allow service cloudguard to read audit-events in tenancy
allow service cloudguard to read authentication-policies in tenancy
allow service cloudguard to read autonomous-database-family in tenancy
allow service cloudguard to read compartments in tenancy
allow service cloudguard to read compute-management-family in tenancy
allow service cloudguard to read database-family in tenancy
allow service cloudguard to read data-safe-family in tenancy
allow service cloudguard to read dynamic-groups in tenancy
allow service cloudguard to read groups in tenancy
allow service cloudguard to read instance-family in tenancy
allow service cloudguard to read keys in tenancy
allow service cloudguard to read load-balancers in tenancy
allow service cloudguard to read log-groups in tenancy
allow service cloudguard to read object-family in tenancy
allow service cloudguard to read policies in tenancy
allow service cloudguard to read tenancies in tenancy
allow service cloudguard to read users in tenancy
allow service cloudguard to read vaults in tenancy
allow service cloudguard to read virtual-network-family in tenancy
allow service cloudguard to read volume-family in tenancy
allow service cloudguard to use network-security-groups in tenancy
```
1. Au bas du panneau Politique du service de protection d'infrastructure en nuage, sélectionnez Créer une politique.
  
  Si toutes les politiques requises sont créées, les entrées de la colonne de droite sont maintenant Ajoutées.
2. Si l'une des entrées de la colonne de droite affiche toujours Non ajouté, ajoutez ces politiques manuellement :
  Selon la façon dont vous utilisez le service d'identité OCI, voir :
  - GIA avec domaines d'identité
  - GIA sans domaines d'identité
Sélectionnez Suivant pour passer au panneau Informations de base.
1. Sélectionnez une région d'inscription.
  La région d'inscription doit être une région prise en charge par Cloud Guard. Si le service Protection d'infrastructure en nuage ne prend pas en charge la région sélectionnée, sélectionnez-en une autre.
  Attention
  
  Considérez avec attention la région d'inscription à sélectionner :
  - La région d'inscription que vous sélectionnez engage votre organisation à respecter toutes les exigences légales du pays où la région d'inscription est hébergée.
  - Une fois Cloud Guard activé, vous ne pouvez pas modifier la région d'inscription sans désactiver, puis réactiver Cloud Guard.
  - Toutes les personnalisations et les problèmes existants (y compris leur historique) sont perdus lorsque vous désactivez le service Protection d'infrastructure en nuage. Vous devrez donc restaurer manuellement ces personnalisations.
  - Tous les appels d'API, à l'exception des appels d'API READ, doivent être effectués dans la région d'inscription.
2. Assurez-vous d'enregistrer le nom de la région de production de rapports que vous spécifiez.
  
  Dans toutes les tâches de configuration et de dépannage que vous effectuez après l'activation, vous devez spécifier la région de rapport du service de protection d'infrastructure en nuage, et non la région principale OCI.
  
  Note
  
  Pour consulter le nom de la région de production de rapports, voir Consultation de la région de production de rapports.
3. Spécifiez des compartiments à surveiller dans la location OCI.
  Sélectionnez une des options suivantes :
  - Tous pour surveiller tous les compartiments.
  - Sélectionner les compartiments, puis sélectionnez dans la liste afin de ne surveiller que les compartiments que vous spécifiez.
  - Aucun pour ne surveiller aucun compartiment. Vous pouvez sélectionner Aucun pour simplement afficher le contenu des recettes de détecteur, avant d'activer l'une d'entre elles.
    
    Note
    
    Votre sélection définit les cibles à surveiller par le service Protection d'infrastructure en nuage. Pour l'activer avec l'option "Commencer par la configuration par défaut, ne sélectionnez pas Aucun.
4. (Facultatif) Sélectionnez une recette de détecteur de configuration dans la liste.
  
  Note
  
  Pour activer l'option "Commencer par la configuration par défaut", n'omettez pas cette sélection.
5. (Facultatif) Sélectionnez une recette de détecteur d'activité dans la liste.
  
  Note
  
  Pour activer l'option "Commencer par la configuration par défaut", n'omettez pas cette sélection.
6. Sélectionnez Activer.
  
  Une barre de progression remplace le bouton Activer le service de protection d'infrastructure en nuage dans la page Service de protection d'infrastructure en nuage.
  
  Note
  
  Si vous avez atteint ce point dans une location gratuite, l'activation s'arrête là.
Une fois l'activation terminée, dans la page Service de protection d'infrastructure en nuage, sélectionnez Aller au service de protection d'infrastructure en nuage.

La page Aperçu du service de protection d'infrastructure en nuage apparaît et la visite guidée commence. Petit à petit,

Note

Si vous avez suivi l'approche "Commencer par la configuration par défaut" dans le processus d'activation, les informations sur les problèmes commencent bientôt à apparaître dans le service de protection d'infrastructure en nuage. La rapidité à laquelle les informations sur le problème commencent à apparaître dépend de votre environnement, de la configuration des cibles et des détecteurs, et du nombre de problèmes qui se produisent et que Cloud Guard doit détecter.
Suivez la présentation guidée pour vous familiariser avec les fonctionnalités de la page Aperçu.

Étape suivante

Note

Quelle que soit l'approche que vous avez adoptée dans le processus d'activation, le service de protection d'infrastructure en nuage désactive par défaut deux règles de détecteur de configuration OCI dans les nouvelles locations. La désactivation initiale de ces règles est nécessaire pour empêcher le service de protection d'infrastructure en nuage de générer un nombre excessif de problèmes que vous considéreriez comme des faux positifs. Pour plus d'informations sur ces règles, voir :

Conseil

Certaines des règles de détecteur activées par défaut peuvent générer un nombre excessif de problèmes dans votre environnement particulier. Pour pouvoir désactiver des règles de détecteur, vous devez cloner la recette de détecteur gérée par Oracle afin de créer une version gérée par l'utilisateur. Voir Clone an OCI Detector Recipe.

Afin de résoudre rapidement les problèmes que vous considérez désormais comme des faux positifs, procédez de la façon suivante pour chaque règle de recette gérée par l'utilisateur qui génère un nombre excessif de problèmes :

Déterminez les paramètres de la règle à modifier pour que celle-ci ne génère plus de faux positifs.
Voir les informations de référence sur la règle dans Informations de référence sur les recettes de détecteur.
Modifiez les paramètres de la règle afin que celle-ci ne génère plus de faux positifs.
Voir Modification des paramètres de règle dans une recette de détecteur OCI.
Désactivez la règle.
Voir Modification des paramètres de règle dans une recette de détecteur OCI.
Réactivez la règle.
Voir Modification des paramètres de règle dans une recette de détecteur OCI.

Si vous avez suivi l'approche Commencer par la configuration par défaut dans le processus d'activation, les informations sur les problèmes commencent bientôt à apparaître dans le service de protection d'infrastructure en nuage. La rapidité à laquelle les informations sur le problème commencent à apparaître dépend de votre environnement, de la configuration des cibles et des détecteurs, et du nombre de problèmes qui se produisent et que Cloud Guard doit détecter.
Note
Si vous avez suivi l'approche "Personnaliser d'abord la configuration" dans le processus d'activation, aucune information sur les problèmes n'est affichée tant que vous n'avez pas terminé toutes les tâches de configuration que vous avez ignorées lors de l'activation :
1. Définissez une ou plusieurs cibles. Voir Création d'une cible OCI.
2. Facultatif : Copiez les recettes de détecteur gérées par Oracle. Voir Clonage d'une recette de détecteur OCI.
3. Facultatif : Personnalisez les recettes de détecteur pour votre environnement. Voir Modification d'une recette de détecteur OCI gérée par l'utilisateur.
4. Ajoutez des recettes de détecteur à chaque cible. Voir Modification d'une cible OCI et de ses recettes attachées.
Après le démarrage de la production de rapports sur les problèmes par le service Protection d'infrastructure en nuage :
- Pour affiner votre configuration du service de protection d'infrastructure en nuage afin de mieux répondre aux besoins spécifiques de votre environnement, voir Personnalisation de la configuration OCI de base du service de protection d'infrastructure en nuage.
- Pour interpréter les informations sommaires sur les problèmes détectés, forer jusqu'aux détails et résoudre des problèmes spécifiques, voir Traitement des problèmes signalés.
- Pour vous assurer que le service de protection d'infrastructure en nuage est entièrement intégré à d'autres services OCI, voir Intégration du service de protection d'infrastructure en nuage à d'autres services.

Intégration du service d'infrastructure en nuage à d'autres services

Assurez-vous que les détails de configuration nécessaires pour prendre en charge l'intégration du service de protection d'infrastructure à d'autres services sont en place.

Lorsque vous avez terminé les tâches décrites dans Activation du service de protection d'infrastructure en nuage, plus certaines tâches de suivi si vous utilisez la stratégie Personnaliser d'abord la configuration, toutes les intégrations aux autres services doivent fonctionner correctement.

Lorsque de nouveaux services prenant en charge l'intégration au service de protection d'infrastructure en nuage deviennent disponibles, vous devez vous assurer que les détails de configuration du service de protection d'infrastructure en nuage prennent correctement en charge le nouveau service :

Les cibles du service de protection d'infrastructure en nuage doivent contenir tous les compartiments dans lesquels se trouvent les ressources du nouveau service que le service de protection d'infrastructure en nuage doit surveiller.
Les recettes de détecteur du service infonuagique qui contiennent les règles propres au nouveau service doivent être associées aux cibles du service infonuagique.

Développez l'un des noms de service suivants pour voir les étapes à effectuer pour vous assurer que les détails de configuration du service de protection d'infrastructure en nuage prennent correctement en charge le service.

Service de certificats

Préalable : Assurez-vous que le service de certificats est déjà activé et fonctionne correctement.

Si le service de protection d'infrastructure en nuage NON déjà activé :
1. Activez le service de protection d'infrastructure en nuage - Voir Activation de ce service.
  
  Suivez les étapes décrites dans "Commencer par la configuration par défaut".
2. Assurez-vous d'activer la recette de détecteur d'activité OCI.
3. Assurez-vous de définir une cible du service de protection d'infrastructure en nuage qui couvre les compartiments OCI que le service de protection d'infrastructure en nuage doit surveiller pour le service de certificats.
4. Assurez-vous que la recette de détecteur d'activité OCI est associée à la cible du service de protection d'infrastructure en nuage. Voir Voir les détails d'une cible.
  
  Si nécessaire, voir Création d'une cible ou Modification des recettes ajoutées à une cible.
S'il est déjà activé, assurez-vous que votre location du service de protection d'infrastructure en nuage dispose des éléments suivants :
- Les cibles définies qui incluent tous les compartiments OCI que le service de protection d'infrastructure en nuage doit surveiller pour le service de certificats. Voir Consultation des détails d'une cible.
- La recette de détecteur d'activité OCI (gérée par Oracle ou par l'utilisateur) associée à chacune de ces cibles. Voir Affichage des détails d'une cible.
  Si nécessaire, voir Création d'une cible ou Modification des recettes ajoutées à une cible.
Si nécessaire, précisez la configuration des règles répertoriées dans la recette de détecteur d'activité OCI (gérée par Oracle ou par l'utilisateur). Voir Modification des paramètres de règle dans les recettes d'une cible.
- Ensemble AC mis à jour
- Autorité de certification (AC) supprimée
- Autorité de certification (AC) intermédiaire révoquée
Votre but est d'optimiser les configurations de règle afin de ne pas laisser passer les vrais problèmes, sans être submergé par de faux positifs. Il peut être nécessaire de surveiller les problèmes générés par le service de certificats pendant un certain temps, avant de pouvoir déterminer si des modifications de règle sont nécessaires.
Consultez les problèmes générés par le service de certificats dans la page Problèmes du service de protection d'infrastructure en nuage. Voir Consultation de la liste des problèmes.
Pour voir uniquement les problèmes liés au service de certificats, filtrez la liste Problèmes en utilisant Labels = Certificats.
Note

L'entrée Étiquettes n'est pas sensible à la casse, mais vous devez entrer les caractères exactement tels qu'ils apparaissent dans "certificats".

Service de sécurité des données

Préalable : Assurez-vous que le service de sécurité des données est déjà activé et fonctionne correctement. Si vous effectuez les étapes suivantes avant l'activation du service de sécurité des données, le service de protection d'infrastructure en nuage vous alerte que vous devez activer le service de sécurité des données, chaque fois qu'il trouve une base de données.

Si le service de protection d'infrastructure en nuage NON déjà activé :
1. Activez le service de protection d'infrastructure en nuage - Voir Activation de ce service.
  
  Suivez les étapes décrites dans "Commencer par la configuration par défaut".
2. Assurez-vous d'activer la recette de détecteur de configuration OCI.
3. Assurez-vous de définir une cible du service de protection d'infrastructure en nuage qui couvre les compartiments OCI que le service de protection des données en nuage doit surveiller pour le service de sécurité des données.
4. Assurez-vous que la recette de détecteur de configuration OCI est associée à la cible du service d'infrastructure en nuage. Voir Consultation des détails d'une cible.
  
  Si nécessaire, voir Création d'une cible ou Modification des recettes ajoutées à une cible.
S'il est déjà activé, assurez-vous que votre location du service de protection d'infrastructure en nuage dispose des éléments suivants :
- Les cibles définies qui incluent tous les compartiments OCI que le service de protection d'infrastructure en nuage doit surveiller pour le service de sécurité des données. Voir Consultation des détails d'une cible.
- La recette de détecteur de configuration OCI (gérée par Oracle ou par l'utilisateur) associée à chacune de ces cibles. Voir Consultation des détails d'une cible.
  Si nécessaire, voir Création d'une cible ou Modification des recettes ajoutées à une cible.
Ajoutez les politiques suivantes à votre location du service de protection d'infrastructure en nuage pour permettre l'accès aux informations du service de sécurité des données :

allow service cloudguard to read data-safe-family in tenancy

allow service cloudguard to read autonomous-database-family in tenancy
Si nécessaire, précisez la configuration des règles répertoriées dans la recette de détecteur de configuration OCI (qu'elle soit gérée par Oracle ou par l'utilisateur). Voir Modification des paramètres de règle dans les recettes d'une cible.
- Le service de sécurité des données n'est pas activé (cette règle est inopérante une fois le service de sécurité des données activé)
- La base de données n'est pas enregistrée dans le service de sécurité des données (cette règle est inopérante si le service de sécurité des données n'est pas activé)
Votre but est d'optimiser les configurations de règle afin de ne pas laisser passer les vrais problèmes, sans être submergé par de faux positifs. Il peut être nécessaire de surveiller les problèmes générés par le service de sécurité des données pendant un certain temps, avant de pouvoir déterminer si des modifications de règle sont nécessaires.
Consultez les problèmes générés par le service de sécurité des données dans la page Problèmes du service de protection d'infrastructure en nuage. Voir Consultation de la liste des problèmes.
Pour voir uniquement les problèmes liés au service de sécurité des données, filtrez la liste Problèmes en utilisant Labels = Database Security.
Note

L'entrée Étiquettes n'est pas sensible à la casse, mais vous devez entrer les caractères exactement sécurité des bases de données.

Service de renseignement sur les menaces

Service de journalisation

Instance Security utilise le service de journalisation OCI pour enregistrer l'activité.

Préalable : Assurez-vous que le service de protection d'infrastructure en nuage et le service de journalisation sont activés.

Deux types de journal sont produits par le service de protection d'infrastructure en nuage.

Journaux bruts du service de protection d'infrastructure en nuage, produits par la sécurité d'instance. Vous pouvez activer ces journaux lorsque vous attachez une recette de sécurité d'instance à une cible. Vous pouvez également les activer à partir du service de journalisation.
Journaux des résultats d'interrogation du service de protection d'infrastructure en nuage, produits par des interrogations programmées.

Pour plus d'informations sur les politiques d'utilisation des journaux, voir Autorisations requises pour utiliser des journaux et des groupes de journaux

Pour plus d'informations sur les types de journal produits par le service de protection d'infrastructure en nuage, voir Détails de journalisation pour le service de protection d'infrastructure en nuage.

Documentation sur Oracle Cloud Infrastructure